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1 

Wat is de stand van zaken bij de ontwikkeling van de handreiking voor 
gemeenteraden ter verbetering van de gemeentelijke accountantscon¬ 
trole? 

Antwoord: De VNG heeft conform afspraak het voortouw genomen bij de 
ontwikkeling van de bedoelde handreiking. Er is een werkgroep van start 
gegaan bestaande uit accountants, raadsleden, griffier, controllers en de 
VNG. Deze werkgroep hoopt uiterlijk begin volgend jaar haar werkzaam¬ 
heden af te ronden. 

2 

Wat is de stand van zaken met betrekking tot de Handleiding Auditing 
Decentrale Overheden? 

Antwoord: De betreffende werkgroep onder voorzitterschap van mijn 
departement is sinds afgelopen najaar aan het werk. De belangrijkste 
knelpunten, die gemeenten en provincies ervaren met betrekking tot de 
toepasbaarheid van de accountantscontrolestandaarden voor hun 
specifieke situatie zijn in beeld gebracht. Op basis hiervan zijn er 
afspraken gemaakt over de onderwerpen die door de Nederlandse 
Beroepsorganisatie van Accountants (NBA) worden uitgewerkt. De eerste 
versies worden in het najaar in de werkgroep besproken. 

3 

Welke concrete stappen heeft u tot nu toe gezet om in bredere zin te 
reflecteren op de verantwoordingssystematiek van gemeenten? Welke 
stappen bent u nog voornemens te zetten met betrekking tot de 
gevraagde reflectie? 

Antwoord: Met deze vraag wordt gedoeld op de zogeheten Agenda van de 
werkgroep vernieuwing accountantscontrole (werkgroep Depla), die vorig 
jaar zomer haar rapport heeft uitgebracht. Bij de beantwoording van de 
vragen 1 en 2 hiervoor zijn twee van deze agendapunten genoemd. 
Daarnaast zal in het najaar worden gestart met de wet- en regelgeving 
over het invoeren van de verplichte expliciete verantwoording door de 
colleges van BenW respectievelijk GS over het jaarverslag aan hun raden 
respectievelijk staten. Verder is overleg gaande met het samenwerkings¬ 
orgaan Kwaliteit Overheidsaccountants (KOA) over de beste vorm van 
toezicht op toekomstige (inter-)gemeentelijke accountantsorganisaties. 

4 

Kunt u specifiek aangeven aan welke vereiste beveiligingsnormen DigiD in 
2015 niet voldeed? 

Antwoord: Eind 2015 heeft er een audit plaatsgevonden door een externe 
auditor. Bij deze audit constateerde de auditor, onder gelijk gebleven 
omstandigheden, toch drie afwijkingen van de beveiligingsnormen. Ten 
eerste constateerde de auditor dat het uitvoeren van interne security 
scans nog niet genoeg was verankerd. Ten tweede stelde de auditor vast 
dat de controle op de logging nog onvoldoende proactief plaatsvond. Ten 
derde constateerde de auditor dat, ondanks het geheel aan beveiligings¬ 
maatregelen, het restrisico dat de beperkte set aan gegevens in de 
DigiD-database bij een ongeautoriseerde toegang tot betekenisvolle 
informatie kan leiden, te groot was. Naar aanleiding hiervan is DigiD 
verder verbeterd en op 10 mei 2016 heeft de externe auditor een rapport 
opgeleverd met betrekking tot de her-audit naar aanleiding van de 
betreffende drie afwijkingen van de beveiligingsnormen. De auditor heeft 
daarbij vastgesteld dat de drie afwijkingen in voldoende mate zijn 
opgelost. Dit betekent dat DigiD thans in het geheel voldoet aan de 
normen van het ICT-beveiligingsassessment. 

Door externe onderzoekers hebben er in 2015 diverse beveiligingsonder- 
zoeken, zgn. pentesten, plaatsgevonden om de materiële veiligheid van 
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DigiD te beoordelen. Bij deze onderzoeken zijn geen kwetsbaarheden 
aangetroffen. Deze onderzoeken vinden overigens op structurele basis 
plaats. 

5 

Hoe verhoudt de positieve grondtoon in het jaarverslag ten aanzien van 
de Generieke Digitale Infrastructuur zich tot de structurele onvolkomen¬ 
heden die de Algemene Rekenkamer opmerkt ten aanzien van de 
beveiligingsnormen van DigiD? 

Antwoord: De positieve grondtoon in het jaarverslag ten aanzien van de 
Generieke Digitale Infrastructuur betreft de onderdelen in hun 
samenhang. In het jaarverslag staat ook dat tegelijkertijd er verdere 
verbeteringen nodig zijn. Voor DigiD betreft dat het voldoen aan de 
beveiligingsnormen. Zie voor de ontwikkeling daarvan het antwoord op 
vraag 4. 

6 

Waarin schieten de beveiligingsnormen van DigiD en/of de praktische 
uitwerking daarvan exact te kort? 

Antwoord: Zie antwoord op vraag 4. 

7 

Voldoet de beveiliging van DigiD op alle aspecten aan de ICT-beveili- 
gingsrichtlijnen voor Transport Layer Security (TLS) van het Nationaal 
Cyber Security Centrum (NCSC)? Zo nee, op welke aspecten is dat niet het 
geval, sinds wanneer is dat, welk risico lopen gebruikers daarmee en 
wanneer zal dit opgelost zijn? 

Antwoord: Ja. 

8 

Kunt u een eenduidige visie op de toekomst van DigiD geven? Zo ja, per 
wanneer? 

Antwoord: Het voor medio dit jaar voorziene kabinetsbesluit inzake 
realisatie van de multimiddelenstrategie voor digitale inlogmiddelen in 
het BSN-domein zal ook een besluit omvatten over de toekomst van 
DigiD. 

9 

Kunt u specifiek aangeven op welke manier DigiD in 2015 is gefinancierd 
en of dit gefinancierd is uit structurele middelen of incidentele uitgaven 
waren? 

Antwoord: Het beheer en de exploitatie van DigiD en DigiD Machtigen is 
in 2015 structureel gefinancierd uit de reguliere begroting. Voor de 
dóórontwikkeling van beide voorzieningen en voor het opvangen van de 
volumegroei, mede als gevolg van de invoering van de Wet elektronisch 
berichtenverkeer Belastingdienst (Wet EBV), is in 2015 een incidenteel 
beroep gedaan op aanvullende gelden. 

10 

Waarom lukt het u niet de beoordelingen van toekenningen en vaststel¬ 
lingen van subsidies adequaat te onderbouwen? 

Antwoord: De verlening en vaststelling van subsidies is gebonden aan 
wet- en regelgeving. In afstemming met de Auditdienst Rijk heeft BZK met 
ingang van 1 mei 2015 nieuwe subsidiekaders vastgesteld die ervoor 
moeten zorgen dat het vastleggen van uitgevoerde werkzaamheden en de 
onderbouwing van beslissingen omtrent subsidies volgens de regels 
gebeurt. Het vereist kennis en routine om aan deze kaders te voldoen. In 
de praktijk blijkt dat de uitvoering nog niet in alle gevallen in voldoende 
mate over deze expertise beschikt. In 2016 wordt door middel van 
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opleidingen en monitoring aandacht besteed aan onderbouwingen en 
dossiervorming. 

11 

Kunt u aangeven of u maatregelen heeft genomen om de Haagse 
Inkoopsamenwerking in 2016 wel te laten voldoen aan de aanbestedings- 
regels? 

Antwoord: De departementen, waaronder BZK, die gebruik maken van de 
diensten van de Haagse Inkoop Samenwerking (HIS) hebben zitting in het 
Afnemersberaad van de HIS. In het Afnemersberaad worden eventuele 
tekortkomingen geadresseerd, maatregelen afgestemd en bewaakt. 

Tevens worden door het Afnemersberaad Kritische Prestatie Indicatoren 
besproken en bewaakt. Deze zijn gericht op verbetering van de kwaliteit 
van dienstverlening en rechtmatigheid. De HIS zelf heeft de interne 
controle verscherpt. 

12 

Kunt u aangeven welke acties, bij welke onderdelen van het ministerie, in 
2016 nog door u worden ondernomen om de beveiligingsnormen te 
implementeren? 

Antwoord: Het implementeren van beveiligingsnormen is geen eenmalige 
gebeurtenis, maar vergt structurele aandacht en onderhoud. Daarom heb 
ik vanaf 2014 gewerkt aan het op orde krijgen van de security governance 
binnen BZK. Feitelijk komt het erop neer dat over het volledige verant- 
woordelijkheidsgebied van BZK een Plan-Do-Check-Act (PDCA) cyclus 
gerealiseerd wordt, zodat informatieveiligheid structureel geborgd is. In 
2015 was dit deels gerealiseerd; maar verdere versterking en continue 
aandacht blijven noodzakelijk, ook in 2016. 

Voor wat betreft het implementeren van beveiligingsnormen: het proces 
van selectie en implementatie van toepasselijke beveiligingsmaatregelen 
volgt op het verder inregelen van de PDCA-cyclus. Van belang is hierbij te 
onderkennen dat het toepassen van risicomanagement bij de selectie van 
maatregelen onderdeel is van het beveiligingsproces. Het is ook vanuit 
het proces van risicomanagement dat de PDCA-cyclus wordt ingevuld. 

13 

Welke acties gaat u ondernemen om in 2016 te voldoen aan de verplich¬ 
tingen omtrent de afvloeiingsregelingen WNT? 

Antwoord: In zijn algemeenheid zijn de eisen die de WNT stelt aan de 
verantwoording van afvloeiingsregelingen wel duidelijk en uitvoerbaar. 

Het door de ARK benoemde aandachtspunt geldt slechts voor een 
bepaald type afvloeiingsregeling, waar bovendien beperkt gebruik van is 
gemaakt. Het betreft hier de gevallen waarin het dienstverband van een 
medewerker (geen topfunctionaris) werd beëindigd in samenhang met 
contractovername door een mobiliteitsbureau. Uit de huidige wet vloeit 
voort dat deze afvloeiingsregelingen (boven een bepaald drempelbedrag) 
moeten worden verantwoord als ontslaguitkering. In de Evaluatiewet 
WNT, die als voorontwerp is bekendgemaakt in het kader van internetcon- 
sultatie, wordt geregeld dat de op grond van de WNT openbaar te maken 
gegevens niet langer worden genoemd in de wet, maar in een ministeriële 
regeling. Ik ben voornemens om in het kader van administratieve 
lastenverlichting de openbaarmakingsverplichting van ontslaguitkeringen 
aan niet-topfunctionarissen te laten vervallen m.i.v. verantwoordingsjaar 
2016. De ervaring met de WNT-verantwoordingen 2013-2015 wijst uit dat 
deze stap gezet kan worden zonder dat het risico op misbruik of 
oneigenlijk gebruik toeneemt. Daarmee vervalt ook de verplichting om 
alle contractovernames van niet-topfunctionarissen door mobiliteitsbu- 
reaus te verantwoorden als ontslaguitkering. Deze verplichting blijkt niet 
uitvoerbaar te zijn met de bestaande capaciteit en naar mijn oordeel is de 
meerwaarde van openbaarheid van deze informatie - met de 
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gegevensprecisie die de WNT vereist - onvoldoende, mede gezien de 
hoge uitvoeringslasten die ermee gemoeid zijn om volledig aan de 
openbaarmakingsplicht te voldoen. 

14 

Wanneer is het centrale meldpunt voor problemen in de basisregistratie 
gereed en actief? 

Antwoord: Ik ben voornemens op korte termijn een (praktijk-)onderzoek te 
doen, onder welke voorwaarden zo'n meldpunt kan worden ingesteld. In 
2017 kunnen we bezien of aan die voorwaarden kan worden voldaan ten 
behoeve van de inrichting van zo'n meldpunt. Er is al een meldpunt voor 
fouten en fraude met identiteitsgegevens, het Centraal Meldpunt 
Identiteitsfraude en -fouten (CMI). CMI helpt mensen om de fouten te 
herstellen bij de organisatie waar die zijn geconstateerd. Dit meldpunt 
wordt bij het onderzoek betrokken. 

15 

Bent u voornemens een centraal meldpunt in te stellen waar burgers/ 
geregistreerden terecht kunnen voor het melden en oplossen van 
problemen met de basisregistraties? Zo ja, wanneer komt dit meldpunt 
er? 

Antwoord: Zie antwoord op vraag 14. 

16 

Op welke wijze uit de door de Algemene Rekenkamer gesignaleerde hoge 
werkdruk bij de AIVD zich binnen de organisatie? 

Antwoord: Er is al langere tijd sprake van een aanzienlijke werkdruk 
binnen de primaire en ondersteunende processen van de AIVD. Signalen 
hieromtrent komen vanuit het reguliere contact tussen leidinggevenden 
en medewerkers naar voren. Het gehouden medewerkerstevredenheids- 
onderzoek bevestigde dit voor enkele afdelingen van de dienst. De 
werkdruk valt te verklaren door de ontwikkeling van de dreiging die hoge 
eisen stelt aan de beschikbare medewerkers. Inspanningen zijn daarmee 
gericht op het verkrijgen van een maximale (personele) inzet enerzijds en 
het verder versterken van het uithoudingsvermogen anderzijds. Dit 
uithoudingsvermogen is noodzakelijk aangezien de huidige dreigingssi- 
tuatie naar verwachting nog langere tijd zal aanhouden. De AIVD draagt 
zorg voor het in stand houden van volledige en tijdige opleidingen voor 
nieuw ingestroomd personeel. 

17 

Kunt u uitsluiten dat ten gevolge van de hoge werkdruk bij de AIVD 
primaire processen onder druk komen te staan of opleiding van de nieuwe 
ingestroomde medewerkers onvolledig of verlaat is? Zo nee, waarom 
niet? 

Antwoord: Zie antwoord op vraag 16. 

18 

Wat was, na het zeer kritische Rekenkameronderzoek over de bezuini¬ 
gingen op de AIVD, het oorspronkelijke tijdpad om te komen tot het 
opstellen en uitvoeren van een meerjarig organisatorisch visiedocument? 
Loopt dat nog geheel op schema? Zo nee, waarom niet en welke gevolgen 
heeft dat? 

Antwoord: Binnen de AIVD worden activiteiten uitgevoerd gericht op een 
resultaatgerichte en toekomstbestendige bedrijfsvoering. De onderwerpen 
opleiding, ICT en permanente innovatie krijgen hierin, naast enkele andere 
onderwerpen, een plek. Deze activiteiten lopen op schema. In het interne 
meerjarig organisatorisch visiedocument worden deze activiteiten vanuit 
een meerjarig perspectief en in samenhang gebundeld. De beoogde 
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oplevering van het visiedocument was eind 2015, maar is inmiddels 
vastgesteld. 

19 

Kunt u uitsluiten dat de hoge werkdruk bij de AIVD gevolgen heeft voor de 
ICT-ontwikkelingen die de dienst nodig heeft om op de langere termijn 
goed te kunnen blijven functioneren? Zo nee, waarom niet, waar dreigt te 
weinig ontwikkelingsruimte te ontstaan, en hoe kan die ruimte geschapen 
worden? 

Antwoord: De werkdruk binnen de AIVD heeft in 2015 gevolgen gehad 
voor ICT-ontwikkeling. Bij de prioritering van de ICT-capaciteit is de focus 
bewust gelegd op het primaire proces. Voor het goed functioneren 
daarvan zijn de daartoe benodigde ICT-middelen versneld geoperationali¬ 
seerd met de inzet van moderne ontwikkelmethoden. Dit met het oog op 
de investeringen die de dienst de komende jaren gaat doen in permanente 
innovatie en ICT. Waar nodig is er sprake van inhuur van aanvullende 
ICT-capaciteit, vooruitlopend op de lopende structurele werving van 
ICT-specialisten. 
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